Analiza infekcije Locky ransomeware-om
Posljednjih mjeseci je zabilježen značajan porast korisnika zaraženih ransomware-om poznatim pod nazivom Locky, koji se koristi kako bi zaključao korisnikove podatke i zatim iznudio otkupninu u bitcoinima. Ali kako ova prijetnja uspijeva prodrijeti u računalne sisteme i oteti podatke? Dijagram niže
prikazuje postupak zaraze koji vodi do isporuke malicioznog koda. Korisnik prima e-mail u vezi raznih tema koji može biti na raznim jezicima. Ovaj email u privitku sadrži Microsoft Office dokument (.DOC, .DOCM ili .XLS). Dokument kreira BAT datoteku, koja zatim kreira novu datoteku pisanu VBScript-om.
Ove dvije datoteke će kasnije isporučiti glavnu prijetnju, koju je ESET identificirao pod nazivom Win32/Filecoder.Locky.
Navedeni Office dokument sadrži maliciozne makro naredbe koje se izvršavaju kada korisnik klikne na gumb „Enable Content“ u Office dokumentu. Nakon što su marko naredbe omogućene, maliciozni kod se izvršava automatski.
Tri specifične linije koda kreiraju BAT datoteku s nazivom “Ugfdxafff.bat”. Zadatak ove datoteke je kreiranje nove .exe datoteke u VBScript-u i URL adrese s koje će se učitati maliciozni kod. Nakon pokretanja, BAT datoteka će obrisati VBScript kod i samu sebe kako bi uklonila sve tragove sa sistema. Ovaj proces se vidi na sljedećoj slici:
Ovaj niz međukoraka omogućuje da se napad zaustavi prije nego što stigne do vašeg inbox-a ili prije pokretanja makro naredbi. Uzrok ulaska ove prijetnje u sistem je prihvaćanje neželjenih „spam“ poruka od strane korisnika ili zaposlenika kompanije, nakon čega dolazi do „otmice“ podataka koja može
prouzročiti velike probleme. Stoga je neophodno imati na umu rizike povezane s korištenjem makro naredbi u Microsoft Office dokumentima. Iz tog razloga je ključno da svi korisnici budu upoznati s trendovima u računalnom kriminalu i posljedicama malicioznog koda kao što je ransomware te da uvedu
visoke standarde računalne sigurnosti. Naravno, važno je da koriste ispravno konfiguriranu najnoviju verziju antivirusnog programa.
Članak preuzet s portala www.welivesecurity.com
Autor: Diego Perez, ESET Research Lab, Latinska Amerika
No Comments